Válido para navegadores Chrome e dispositivos ChromeOS gerenciados.
Como administrador, você pode configurar os conectores de confiança do dispositivo Chrome Enterprise para compartilhar indicadores contextuais de navegadores gerenciados do Chrome, perfis gerenciados do Chrome e dispositivos ChromeOS com provedores de identidade (IdPs) de terceiros. Essa integração permite indicadores de confiança do dispositivo como entradas nas políticas de autenticação e autorização. Essa solução oferece mais segurança e menos dependência da rede como fator de confiança.
Esses indicadores incluem o ID do dispositivo, o número de série, o estado do modo seguro, a versão do SO e o status do firewall, entre outros. Confira mais informações em Dados enviados do Chrome para o IdP.
Em todas as plataformas compatíveis, os indicadores são compartilhados no navegador durante a sessão. No ChromeOS, os indicadores são compartilhados na página de login e na sessão do navegador como parte da autenticação do usuário.
Observação: os conectores de confiança do dispositivo Chrome Enterprise não são compatíveis com o ChromeOS Flex.
Antes de começar
É possível usar conectores de confiança para dispositivos gerenciados (navegador Chrome e ChromeOS) e para perfis gerenciados do Chrome no navegador Chrome.
Navegador Chrome
- Inscreva-se no Chrome Enterprise Core e registre os dispositivos na unidade organizacional em que você quer configurar o conector de confiança. Saiba como começar a usar o Chrome Enterprise Core em Configurar o Chrome Enterprise Core.
- Para dispositivos não gerenciados, é possível configurar o conector de confiança para usuários com perfis gerenciados do Chrome com base na unidade organizacional. O consentimento do usuário é necessário em dispositivos que não são gerenciados pela sua organização. Consulte Consentimento do usuário.
ChromeOS
- Inscreva-se no Upgrade do Chrome Enterprise e registre os dispositivos ChromeOS na unidade organizacional em que você quer configurar o conector de confiança. Confira como começar a usar o Upgrade do Chrome Enterprise em Sobre o gerenciamento de dispositivos ChromeOS.
-
Para ativar o compartilhamento de indicador apenas para a página de login, adicione os dispositivos a uma unidade organizacional onde você quer configurar o conector de confiança do dispositivo.
-
Para ativar o compartilhamento de indicador na página de login e no navegador em sessão, siga um destes procedimentos:
- Adicione os dispositivos e os usuários à mesma unidade organizacional em que você quer configurar o conector de confiança do dispositivo.
-
Se os dispositivos e os usuários não estiverem na mesma unidade organizacional, aplique a mesma configuração de IdP a todas as unidades organizacionais relevantes. Consulte Adicionar novas configurações do IdP abaixo.
Etapa 1: adicionar novas configurações do IdP
-
Faça login com uma conta de admin no Google Admin Console.
Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.
-
- Na parte superior, clique em + Nova configuração do provedor.
- No painel que aparece à direita, encontre o IdP desejado.
- Clique em Configurar.
- Digite os detalhes da configuração. Para mais informações, consulte Detalhes da configuração do provedor abaixo.
- (Opcional) Selecione como você quer aplicar a configuração: Somente navegadores gerenciados, Somente perfis gerenciados ou Navegador e perfis gerenciados.
Observação: isso se aplica apenas ao navegador Chrome e sempre é aplicado no ChromeOS. - Clique em Adicionar configuração.
As configurações são adicionadas para toda a organização. Em seguida, você pode usar esses recursos em qualquer unidade organizacional, conforme necessário.
Etapa 2: aplicar configurações à unidade organizacional
Depois que você adiciona uma nova configuração de provedor de identidade (IdP), ela é listada na página Conectores. É possível ver as configurações adicionadas para cada provedor e o número de unidades organizacionais conectadas.
Para escolher qual configuração usar, faça o seguinte:
-
- Selecione uma unidade organizacional filha.
- Em Conectores de confiança do dispositivo, selecione a configuração que você quer usar.
- Clique em Salvar.
Detalhes da configuração do provedor
Cisco Duo
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo Cisco Duo: siga as instruções no console do Cisco Duo. |
|
Contas de serviços, uma por linha |
Fornecido pelo Cisco Duo: siga as instruções no console do Cisco Duo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Cisco Duo.
FAZER O DOWNLOAD DO GUIA (PDF)
Cisco Secure Access
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo Cisco Secure Access: siga as instruções no console do Cisco Secure Access. |
|
Contas de serviços, uma por linha |
Fornecido pelo Cisco Secure Access: siga as instruções no console do Cisco Secure Access. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Cisco Secure Access.
FAZER O DOWNLOAD DO GUIA (PDF)
JumpCloud
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo JumpCloud: siga as instruções no console do JumpCloud. |
|
Contas de serviços, uma por linha |
Fornecido pelo JumpCloud: siga as instruções no console do JumpCloud. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do JumpCloud.
FAZER O DOWNLOAD DO GUIA (PDF)
Okta (usuários do Okta Identity Engine)
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo Okta: siga as instruções no console do Okta. |
|
Contas de serviços, uma por linha |
Fornecido pelo Okta: siga as instruções no console do Okta. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Okta Identity Engine.
FAZER O DOWNLOAD DO GUIA (PDF)
Omnissa
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo Omnissa: siga as instruções no console do Omnissa. |
|
Contas de serviços, uma por linha |
Fornecido pelo Omnissa: siga as instruções no console do Omnissa. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Omnissa.
FAZER O DOWNLOAD DO GUIA (PDF)
PingFederate
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
No Console federado Ping, acesse Sistema Configurações de protocolo Federação para determinar o URL. |
|
Contas de serviços, uma por linha |
A conta de serviço é gerada usando o GCP. As etapas necessárias para configurar um projeto e uma conta de serviço do GCP estão detalhadas no guia "Integrar a identidade do ping ao Chrome Enterprise" abaixo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do PingFederate.
FAZER O DOWNLOAD DO GUIA (PDF)
PingOne DaVinci
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
https://auth.pingone.com |
|
Contas de serviços, uma por linha |
A conta de serviço é gerada usando o Google Cloud Platform (GCP). As etapas necessárias para configurar um projeto e uma conta de serviço do GCP estão detalhadas no guia "Integrar a identidade do ping ao Chrome Enterprise" abaixo. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre o conector de confiança do dispositivo Chrome e a identidade do ping para usuários do DaVinci.
FAZER O DOWNLOAD DO GUIA (PDF)
ZScaler
| Campo | Descrição |
|---|---|
|
Nome da configuração |
O nome exibido na página Conectores, em Conectores de confiança do dispositivo. |
|
Padrões de URL permitidos, um por linha |
Fornecido pelo Zscaler: siga as instruções no console do Zscaler. |
|
Contas de serviços, uma por linha |
Fornecido pelo Zscaler: siga as instruções no console do Zscaler. |
Consulte o guia abaixo para conferir detalhes sobre como configurar a integração entre os usuários do conector de confiança do dispositivo Chrome e do Zscaler.
FAZER O DOWNLOAD DO GUIA (PDF)
Verificar a configuração do conector de confiança do dispositivo
Primeiro, verifique se o dispositivo gerenciado está registrado e listado no Google Admin Console em uma unidade organizacional onde você configurou o conector.
Verificar se as políticas foram aplicadas
Em um dispositivo gerenciado:
- Acesse chrome://policy.
- Clique em Atualizar políticas.
- Apenas para Windows e macOS:
- Em BrowserContextAwareAccessSignalsAllowlist, verifique se a opção Status está definida como OK.
- Em BrowserContextAwareAccessSignalsAllowlist, clique em Mostrar valor e verifique se o campo de valor é o mesmo que você definiu em Padrões de URL a permitir, um por linha.
- Somente no ChromeOS:
- Em DeviceLoginScreenContextAwareAccessSignalsAllowlist, verifique se Status está definido como OK.
- Em DeviceLoginScreenContextAwareAccessSignalsAllowlist, clique em Mostrar valor e verifique se o campo de valor é o mesmo que você definiu em Padrões de URL a permitir, um por linha.
Em um perfil gerenciado:
- Acesse chrome://policy.
- Clique em Atualizar políticas.
- Apenas para Windows e macOS:
- Em UserContextAwareAccessSignalsAllowlist, verifique se a opção Status está definida como OK.
- Em UserContextAwareAccessSignalsAllowlist, clique em Mostrar valor e verifique se o campo de valor é o mesmo que você definiu em Padrões de URL a permitir, um por linha.
Verificar o estado do conector de confiança do dispositivo
Em um navegador ou dispositivo gerenciado:
- Acesse chrome://connectors-internals.
- Verifique os seguintes valores obrigatórios:
Está ativado: trueNíveis de DTC ativados: BrowserGerenciador de chaves inicializado: trueSincronização de chaves: sucesso (200)Can Collect Signals: true
Em um perfil gerenciado:
- Acesse chrome://connectors-internals.
- Verifique os seguintes valores obrigatórios:
Está ativado: trueDTC Enabled Levels: UserKey Manager Initialized: falseConsent Was Received: trueCan Collect Signals: true
O conector só vai poder fornecer atestados de identificação do dispositivo se a sincronização da chave for bem-sucedida.
Se não houver um valor ao lado de Gerenciador de chaves inicializado, atualize a página até que um valor apareça. Se Está ativado: true, não deverá levar mais de um minuto.
Observação: os dispositivos ChromeOS não têm um gerenciador de chaves porque usam certificados compatíveis com o TPM nativos do SO.
Definição de valores em chrome://connectors-internals
Is Enabled: verifica se a política está ativada no dispositivo.DTC Enabled Levels: usuário ou navegador, o nível em que a política está ativada.Gerenciador de chaves inicializado: o Chrome carregou a chave ou a criou se nenhuma chave tiver sido criada.Tipo de chave: RSA ou EC (curva elíptica).Nível de confiança: HW ou SW.- HW (hardware) significa que a chave está armazenada no hardware do dispositivo. Por exemplo, no Mac com Secure Enclave ou Windows quando há um TPM.
- SW (software) significa que a chave é armazenada no nível do SO. Por exemplo, em um arquivo, como no Linux.
Hash SPKI: um hash da chave privada.Sincronização de chaves: o status da resposta e o código da última tentativa de upload da chave. O Chrome tenta fazer upload da chave novamente sempre que ela é iniciada.Consent Was Received: confirma se o usuário final deu consentimento para a coleta de indicadores.Indicadores: uma visão geral dos indicadores que podem ser enviados do dispositivo.Can Collect Signals: indica se o Chrome pode coletar indicadores do dispositivo. Se o navegador for gerenciado, não vamos exigir o consentimento do usuário final para coletar indicadores do dispositivo. Para perfis gerenciados quando o navegador não é gerenciado, precisamos do consentimento do usuário final para coletar indicadores do dispositivo.
Como limpar uma chave de acesso baseado no contexto
Somente Windows e Mac
Os administradores com acesso ao Admin Console podem limpar uma chave pública confiável de um navegador específico. Isso ajuda a resolver problemas de acesso de um usuário. Por exemplo, quando um navegador gerenciado não tem mais acesso ao par de chaves confiável.
-
Faça login com uma conta de admin no Google Admin Console.
Se você não estiver usando uma conta de administrador, não poderá acessar o Admin Console.
-
Acesse Menu
Dispositivos > Chrome > Navegadores gerenciados.
Exige o privilégio de administrador Gerenciamento de dispositivos móveis.
Se você assinou o Chrome Enterprise Core, acesse Menu
Navegador Chrome > Navegadores gerenciados.
- Selecione a unidade organizacional em que o navegador está localizado.
- Selecione o navegador com a chave a ser limpa.
- Na caixa Detalhes do navegador gerenciado à esquerda, clique em Configurar chave.
- Selecione Limpar chave.
Quando a chave é apagada do Admin Console, o navegador gerenciado sincroniza a chave na reinicialização e estabelece a confiança novamente.
Observação: se não for possível clicar em Configurar chave, talvez a chave não exista no servidor.
Dados enviados do Chrome para o IdP
Os dados enviados dos navegadores Chrome e dos dispositivos ChromeOS para o IdP são definidos aqui. Como administrador, você pode decidir quais desses indicadores quer usar nas regras de acesso baseado no contexto.
Consentimento do usuário
O consentimento do usuário é necessário em dispositivos que não são gerenciados pela sua organização. Em dispositivos não gerenciados, o navegador pede que o usuário consinta a postura do dispositivo para que seja compartilhada com sua organização.
Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.